A01665

JVNVU#91475438の報告において、攻撃者がIKEv1のパケット再送動作を利用することで転送量を増幅する問題が指摘されています。本機に搭載しているIKEv1機能についてもプロトコル仕様に従いパケットの再送を行うため、この問題の影響をうけます。

IKEのパケット再送処理で転送量が増幅されることにより、DoS攻撃の踏み台として利用される可能があります。攻撃者は事前共有鍵を知っている必要ありません。

この脆弱性によって攻撃者がIPsec/IKEで保護された通信を解読することはできず、情報漏洩は発生しません。

この脆弱性はプロトコル仕様に起因する問題であり、現時点で根本的な対策方法は示されていません。脆弱性の詳細や最新情報は JVNVU#91475438 を参照してください。

本機でIPsec/IKE機能を有効にしている際に影響を受けます。IPsec/IKE機能を利用していない場合は影響を受けません。

L2TP/IPsecを利用するために ipsec anonymous-transport の設定を有効にしている場合、本機は任意のアドレスからの折衝要求に応答パケットを返します。

ipsec anonymous-transport の設定を有効にしていない場合、ike peer で設定されたアドレス、または aggressive-mode における peers-identifier に一致するID情報を含む折衝要求に対してのみ応答パケットを返します。

再送パケットの送信時に関するログは記録されないため、再送の発生有無を直接確認することはできません。

本機が攻撃に利用された場合、応答者側としてIKE Phase1の折衝が開始され、応答が得られずにタイムアウトします。

ike retry の設定を小さくすることで、再送回数を減らし問題を軽減することが可能です。

JVNVU#91475438で報告された脆弱性への対応として、攻撃者により偽造された折衝要求と想定されるパケットに対して応答パケットの再送を繰り返してしまうことを防ぐため、応答者側として動作している場合は最初の応答時にパケットの再送処理を行わないことで、攻撃者から送信された1つの折衝要求パケットに対する応答を1回に限定し、転送量の大幅な増幅を抑制します。

これにより攻撃者以外からの折衝要求パケットについても再送処理が制限されますが、正当な始動者への応答パケットが失われた場合は始動者側が接続を再試行することで折衝が再開されます。また、最初の応答により双方向の通信が成立し2つ以上のパケットが正常にやりとりできた場合は、以降は応答者側であっても従来通りの再送制御をおこないます。

本脆弱性はプロトコル仕様に起因する問題であり、将来的にプロトコル仕様の改訂などの根本対策がおこなわれる可能性があります。

• JVN(JVNVU#91475438)
• CERT(VU#419128)